في مقطع فيديو على YouTube تمت مشاركته على قناتهم ، أظهر فريق الأمن السيبراني في Unciphered ثغرة أمنية خطيرة لمحفظة OneKey التي اكتشفوها أثناء البحث.
كما هو معتاد بالنسبة لاكتشاف الثغرات الأمنية للقبعة البيضاء ، تم إصدار الفيديو بعد تصحيحه.
تفتقر إلى التشفير العرفي
Unciphered ، وهي شركة ناشئة في مجال الأمن السيبراني ينصب تركيزها الرئيسي على استعادة العملات المشفرة المفقودة للعملاء الذين لم يعد بإمكانهم الوصول إلى محافظهم ، ومن المفترض أنها كشفت عن المشكلة أثناء محاولة استرداد الأموال للعميل. في ال الفيديو، يتم تفكيك محفظة OneKey ومعالجتها ، مع قيام الفريق غير المشفر بإدخال قطعة من الأجهزة التي تراقب الاتصالات بين وحدة المعالجة المركزية الخاصة بالمحفظة ووحدتها الآمنة.
بشكل عام ، يتم تشفير الاتصال بين وحدة المعالجة المركزية والوحدة الآمنة - حيث يتم تخزين الذاكرة التذكارية والعملات المشفرة. ومع ذلك ، بالنسبة لمحافظ OneKey ، يبدو أن الأمر لم يكن كذلك.
"عادة ، يتم تشفير الاتصالات بين وحدة المعالجة المركزية ، حيث تتم المعالجة ، والعنصر الآمن. حسنًا ، اتضح أنه لم يتم تصميمه للقيام بذلك في هذه الحالة. لذا ما يمكنك فعله هو وضع أداة في المنتصف تراقب الاتصالات وتعترضها ، ثم تقوم بحقن أوامرها الخاصة ".
تجاوز وضع المصنع
من خلال إدخال قطعة من الأجهزة الخاصة بهم بين وحدة المعالجة المركزية والوحدة الآمنة ، يمكن للفريق في Unciphered خداع الجهاز ليعتقد أنه في وضع المصنع ، والذي يقوم بعد ذلك بإلقاء الذاكرة على جهاز الفريق.
"لقد فعلنا ذلك حيث يخبر العنصر الآمن أنه في وضع المصنع ، ويمكننا التخلص من فن الإستذكار."
كان هذا من شأنه أن يسمح لممثل سيء كان بإمكانه اكتشاف الثغرة الأمنية بالوصول إلى المحفظة بمجرد إعادة تجميعها.
استجابتنا لتقارير إصلاح الأمان الأخيرة https://t.co/Dp9nNp1D0U
- محفظة OneKey مفتوحة المصدر (OneKeyHQ) 10 فبراير 2023
تجدر الإشارة إلى أنه من أجل تنفيذ هذا الاختراق ، كان من الضروري أن يكون لدى الممثلين السيئين إمكانية الوصول الفعلي إلى الجهاز ، حيث لا يمكن تنفيذه عن بُعد. ومع ذلك ، من المهم ملاحظة أنه يمكن الكشف عن موقع محفظة الأجهزة - خذ خرق دفتر الأستاذ ، على سبيل المثال ، حيث تم الكشف عن بيانات عملاء المحفظة ، مما يتركهم عرضة للسرقة المحتملة وكذلك الابتزاز البسيط محاولات.
لحسن الحظ ، تم تصحيح المشكلة الآن بسبب التواصل بين الشركتين. لجهودهم ، تلقت Unciphered مبلغًا لم يكشف عنه من برنامج مكافأة الأخطاء في OneKey.
Binance Free 100 دولار (حصري): استخدم هذا الرابط للتسجيل والحصول على 100 دولار مجانًا و 10٪ خصم على رسوم Binance Futures الشهر الأول (سياسة الحجب وتقييد الوصول).
عرض PrimeXBT الخاص: استخدم هذا الرابط للتسجيل وإدخال رمز POTATO50 لتلقي ما يصل إلى 7,000 دولار على ودائعك.
المصدر: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/